ایزو ۲۷۰۰۵ – استاندارد مدیریت ریسک امنیت اطلاعات
ایزو ۲۷۰۰۵ یک استاندارد بینالمللی است که نحوه ارزیابی ریسک امنیت اطلاعات را مطابق با الزامات ایزو ۲۷۰۰۱ شرح میدهد. عنوان دقیق این استاندارد همانطور که در وبسایت ISO بیان شده است « ISO/IEC 27005- فناوری اطلاعات – تکنیکهای امنیتی – مدیریت ریسک امنیت اطلاعات» است. همانطور که از نام آن پیداست، سازمان بینالمللی استاندارد (ISO) و کمیسیون بینالمللی الکتروتکنیکی (IEC) این استاندارد را منتشر کردهاند. به طور دقیقتر، از امنیت اطلاعات بر اساس رویکرد مدیریت ریسک پشتیبانی میکند.
فهرست مطالب
ایزو ۲۷۰۰۵ چیست؟
ایزو ۲۷۰۰۵ یا استاندارد مدیریت ریسک امنیت اطلاعات بر اساس دستورالعملهای تعیین شده در ISO/IEC 27001 و ISO/IEC 27002 تدوین شده است. این استاندارد ابتدا در ژوئن ۲۰۰۸ با نام اختصاری ISO/IEC 27005:2008 منتشر شد. سپس در سالها ۲۰۱۱ و ۲۰۱۸ مورد بازبینی قرار گرفت و بهروزرسانی شد.
متن ایزو ۲۷۰۰۵ بهصورت خلاصه در فصلهای ششم تا دوازدهم یک رویکرد مدیریت ریسک سیستمهای اطلاعاتی را توسعه میدهد. فصل هفتم به طور خاص به تجزیهوتحلیل ریسک میپردازد که از الزامات یک استراتژی مناسب امنیت سایبری است. فصل هشتم بر ارزیابی ریسک تمرکز دارد و فصل نهم تا دوازدهم نحوه اجرای استراتژی درمان خطر و نحوه پیگیری آن را شرح میدهد.

چه کسانی از این استاندارد استفاده میکنند؟
سازمان بینالمللی استاندارد، ISO 27005 را به شرکتها و به مؤسسات عمومی مانند «سازمانهای دولتی» و سازمانهای غیرانتفاعی توصیه میکند. در عمل، این استاندارد امنیت اطلاعات برای اطمینان از محرمانه بودن دادهها و دردسترسبودن و یکپارچگی داراییهای اطلاعاتی و کلیدی یک سازمان استفاده میشود و برای تمام ساختارهایی طراحی شده است که تحتتأثیر خطرات سایبری و افزایش مداوم دادهها قرار میگیرند.
ایزو ۲۷۰۰۵ چگونه کار میکند؟
این استاندارد بینالمللی شامل بیش از ۲۰ صفحه از رویکردهای مدیریت ریسک امنیت اطلاعات است. بااینحال، مفاهیم کلی را از طریق چهار مرحله اصلی پشتیبانی میکند:
زمینهسازی مدیریت ریسک
زمینهسازی تحلیل ریسک شامل تعیین محل شروع مدیریت ریسک و پایان آن است. همچنین زمانی برای تنظیم یک سری معیارها است:
- معیارهای ارزیابی که داراییهایی را که توسط خطرات سایبری تهدید میشوند و آستانههایی که بالاتر از آنها باید با خطرات مقابله شود را شناسایی میکنند.
- معیارهای تأثیر که حداقل سطح پیامدهای قابلتحمل ریسک را برای هر شرکت مشخص میکنند.
- معیارهای پذیرش ریسک که آستانه تحمل ریسک هر شرکت را مشخص میکنند.
ارزیابی ریسک
در طول این مرحله، ابتدا عناصر در معرض خطر را تعیین کنید. سازمان بهعنوان یک کل، سیستمهای اطلاعاتی، خدمات و گروههای داده. در مرحله بعد، باید تهدیدات و آسیبپذیریهای اطراف این عناصر را مشخص کنید. ISO 27005 از شما میخواهد که تهدیدها و تأثیرات آنها را با نیازهای امنیتی ساختار خود مطابقت دهید. کل این فرایند باید به شما کمک کند اولویتها را بر اساس معیارهای ارزیابی که در مرحله اول تعریف کردهاید رتبهبندی کنید.
درحالیکه استاندارد ISO 27005 به شناسایی آسیبپذیریهای امنیت سایبری کمک میکند، اما مقیاس رتبهبندی ریسک را ارائه نمیکند. تیم مسئول اعمال استاندارد باید یک سیستم ارزیابی برای خود بسازد. این سیستم میتواند به روشهای برآورد کیفی یا کمی تکیه کند که روش دوم مبتنی بر هزینههای قابلاندازهگیری است.
استراتژی درمان ریسک
ساختار شما باید اهداف امنیت فناوری اطلاعات را تعیین کند و درعینحال نتایج بهدستآمده در مرحله دوم را در نظر داشته باشد. پس از تعیین این اهداف، میتوانید مشخصات خود را پیشنویس کنید که به طراحی اقدامات برای درمان خطرات کمک میکند. به کمک ایزو ۲۷۰۰۵ باید اثرات ریسک را با هزینه درمان آن مقایسه و بر اساس نوع مقابله خود با ریسک را انتخاب کنید. بر اساس نتایج این ارزیابی و سطح ریسک چهار انتخاب دارید:
- اجتناب: اگر عواقب بروز ریسک خیلی بالا باشد باید به هر قیمتی از آن اجتناب کرد. ممکن است لازم باشد فعالیتهایی را که احتمالاً باعث آن ریسک میشود را متوقف کنید.
- انتقال: ساختار شما ریسک را با یک شخص ثالث (بیمه یا پیمانکار فرعی امنیت سایبری) به اشتراک میگذارد که حداقل بتواند از نظر مالی در برابر خطرات محافظت شود.
- کاهش: اقداماتی را برای کاهش تأثیر یا احتمال وقوع یک خطر طراحی میکنید تا آن را قابلتحملتر کنید.
- حفاظت: خطر قابلتحمل تلقی میشود و بهاندازه کافی تهدید نیست. ساختار شما تصمیم میگیرد تا قبل از بروز حادثه به آن رسیدگی نکند.
پذیرش ریسک
استراتژی درمان ریسک و خطرات باقیمانده باید از مرحله پذیرش عبور کنند؛ یعنی کل طرح درمان باید توسط مدیریت ارشد تأیید شود. در طول این مرحله، رؤسای بخشها ممکن است هزینههای پیشگیری و درمانی را که فکر میکنند خیلی زیاد است تأیید نکنند و ترجیح دهند ریسکهای خاصی را بپذیرند.
متدولوژی ایزو ۲۷۰۰۵ از نظر تئوری در اینجا به پایان میرسد؛ اگرچه باید بهخاطر داشته باشید که تمام کارهایی که سازمان شما در طول این فرایند انجام داده است میتواند بهعنوان بخشی از یکروند نظارت و بازبینی استفاده شود. سناریوهایی که تصور کردهاید، تجزیهوتحلیل ریسکی که انجام دادهاید و استراتژیهای درمانی که تنظیم کردهاید در قالب تاریخچهای از خطرات شناسایی شده ثبت میشوند. هر زمان که تهدیدها مجدداً آشکار شد یا با خطرات جدیدی مواجه شدید میتوانید از تجارب خود در مراحل قبل کمک بگیرید.
مزایای روش مدیریت ریسک ایزو ۲۷۰۰۵
این استاندارد مدیریت ریسک سایبری دارای چندین مزیت است که یکی از قابلتوجهترین آنها سازگاری آن با انواع مختلف ساختارها است. سازمان شما میتواند با راههای مختلفی از مزایا استاندارد ISO/CEI 27005 بهرهمند شود. بهعنوانمثال:
- میتوانید این روش را بهتنهایی و بدون پیشنیاز قبلی استفاده کنید.
- مهارتهای تیم شما را برای مدیریت ساختاریافته ریسک سایبری توسعه میدهد.
- نقاط ضعف و تهدیدهای مختلف سیستم را شناسایی و ارزیابی میکند.
- سازمان شما را از یک ISMS انعطافپذیر بهرهمند میکند.
- برای انواع سازمانها با ساختارها مختلف تنظیم میشود.
- اعتماد ذینفعان به شما را افزایش میدهد.

چرا سازمانها باید ایزو ۲۷۰۰۵ را اخذ کنند؟
بر خلاف سایر استانداردهای رایج مدیریت ریسک که یک رویکرد ثابت برای همه سازمانها دارند، ISO 27005 ماهیت انعطافپذیری دارد و به سازمانها اجازه میدهد تا رویکرد خود را برای ارزیابی ریسک بر اساس اهداف تجاری خاص خود انتخاب کنند. این رویکرد ثابت کمک میکند تا اطمینان حاصل کنید قبل از شروع هر گونه فعالیت دررابطهبا مدیریت ریسک، تمام اطلاعات موردنیاز را در اختیار دارید. این استاندارد از ساختاری ساده و قابلتکرار پیروی میکند که هر یک از بندهای اصلی در چهار بخش زیر سازماندهی شده است:
- ورودی: اطلاعات لازم برای انجام یک عمل
- عمل: خود فعالیت
- راهنمای پیادهسازی: هر گونه جزئیات اضافی
- خروجی: اطلاعاتی که توسط فعالیت تولید میشود
جمعبندی
استاندارد ایزو ۲۷۰۰۵ از منطقی پیروی میکند که یادآور روش PDCA (طرح، انجام، بررسی، عمل) برای بهبود مستمر است. بهاینترتیب که خطرات سایبری را شناسایی و ارزیابی کنید. سپس بهصورت استراتژیک در مورد اقدامات کاهش ریسک مربوطه برنامهریزی کنید. شما باید بررسی عملکرد را انجام دهید تا مطمئن شوید اقدامات برنامهریزی شده اجرا میشود یا خیر و با بررسی چگونگی عملکرد از بهبود استراتژی درمان ریسک خود اطمینان حاصل کنید.
اخذ گواهینامه ایزو معتبر
ایزوسیستم با همکاری برترین مراجع صدور (CB)، انواع گواهینامههای بینالمللی ایزو (ISO) را برای سازمانها و سایر مراکز تجاری و غیرتجاری صادر میکند. شرکت دانش بنیان خانه مدیران، ایزوسیستم را بهعنوان برند تجاری خود ثبت کرده و از سال ۱۳۸۵ در حوزه ارائه خدمات مشاور مدیریت و صدور گوهینامههای بینالمللی ایزو فعالیت میکند.
برای اخذ ایزو از طریق صفحه دریافت ایزو درخواست خود را به صورت سریع ثبت کنید. برای کسب اطلاعات بیشتر میتوانید از طریق شمارههای ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ با ما در تماس باشید یا از طریق تکمیل فرم اخذ ایزو کارشناسان ما با شما تماس خواهند گرفت.
این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.
ایزوسیستم برترین مرکز صدور مدارک بین المللی ایزو و دارنده مجوز سازمان صنعت، معدن و تجارت می باشد.
هشدار: مراقب نیش مراکز بدون مجوز رسمی در حوزه ی خدمات مشاوره و صدور گواهینامه های ایزو باشید!